挑戰不可能的可能，就是一天PO兩篇！！雖然主題是Wireshark，不過每天都會有一篇Bonus，內容則會介紹國內外一些資安組織、駭客組織、資安法規及國際間合作方式等等，希望除了技術以外也能介紹一點其他資安相關的資訊給大家～

Bonus第一天要介紹的主題是CERT與CSIRT，CERT的全名是電腦緊急應變小組（Computer Emergency Response Team），CSIRT（發音為「C-CERT」）則是電腦資安事件應變小組（Computer Security Incident Response Team）。相信很多人搞不清楚這兩種組織有什麼差異，或是甚至沒有聽過這兩種組織，其實這兩種組織的產生是有背後一段故事的。

目前全世界許多國家都建有CERT，主要業務之一就是負責協處國內的資安事件及發布資安警訊等，像台灣的TWCERT/CC和TWNCERT、美國的CERT和US-CERT、日本的JPCERT/CC、韓國的KrCERT/CC等等。最早的CERT是由美國卡內基美隆大學（Carnegie Mellon University）的軟體工程學院在美國國防部的資助下所建立的CERT/CC，一開始CERT/CC其實很排斥其他的單位使用CERT這個名字，甚至威脅要採取法律行動來對付使用CERT作為組織名稱一部份的組織，在這樣的狀況下，有些組織改使用CSIRT這個名稱來稱呼自己，除了能避免使用CERT的名稱，也能更加強調該組織擁有資安事件處置的能力。後來，CERT/CC對於其他組織名稱中包含CERT這幾個字已不這麼敏感，所以其實後來各國陸續還是有非常多名字包含CERT的組織成立，因此也有很多人會把CERT及CSIRT視為類似的組織，不過一般來說，若是想要強調組織本身的主要業務是資安事件處理的話，還是會偏向把組織名稱取做CSIRT，如台灣處理學網資安事件的TWCSIRT和趨勢科技自行建立處理產品或客戶發生的資安事件的TM-CSIRT等皆是，但像是台灣的TWCERT/CC業務不僅有民間資安事件處理，還有扶持國內組織建立CSIRT、提高全民資安意識跟國際交流等業務的話，就會把名字取叫CERT。不過老實說，每個國家對於CERT或CSIRT等資安組織的定義並不相同，負責的服務對象及業務範圍也不盡相同，所以也很有可能出現兩個都叫CERT的組織，負責的業務卻天差地遠的狀況出現。

圖1、TWCERT/CC的LOGO

另外還有一種組織叫做PSIRT（發音為「P-CERT」），全名是產品資安事件應變小組（Product Security Incident Response Team），這種組織光看名字就知道他們的定位比起CSIRT又更明確了，PSIRT只會處理特定公司產品所發生的資安事件或是漏洞修補等，例如IBM的IBM PSIRT、Panasonic的Panasonic PSIRT及群暉的Synology PSIRT等，這些組織就只會處理自家公司產品的漏洞或相關的資安事件。

對了，是不是有人也會好奇為什麼有的CERT後面要加一個/CC呢？這邊的CC意思是協調中心（Coordination Center），而每個國家只會有一個協調中心存在，該協調中心需要負責與國際資安組織進行協調，像台灣的協調中心就是TWCERT/CC，日本的協調中心就是JPCERT/CC。比較有趣的是，美國的CERT/CC雖然一開始認定自己是CC腳色，但他們後來與美國國土安全部合作建立US-CERT，並將CC這個腳色轉給名字並沒有包含CC兩字的US-CERT，同時也將自己的名字改做CERT Division，並將主力轉往資訊安全領域的研究及資安事件的分析。

圖2、CERT Division 的LOGO

圖3、US-CERT 的LOGO

另外講個小八卦，由於許多國家的CERT都是由學術單位開始成立的，像是臺灣、澳洲、美國、印尼等都是，但政府會在稍晚才發現成立CERT的重要性，所以就會把原本由學術單位所維運的CERT接手維運，或是由政府新創一個CERT來取代原有CERT的位置，這樣一來原本由學術單位所維運的CERT就失去了既有業務，如果新舊CERT有良好合作關係的話就沒關係，但舊CERT會必須另尋服務對象或業務範圍，甚至可能產生與政府單位後來成立的CERT關係會比較尷尬的狀況，所以展望全球各國的CERT組織，可能會出現一個國家有很多CERT組織的狀況，也很容易讓大家有點混淆，不知道出現資安事件時要找誰比較好。臺灣雖然也有許多CERT組織，但彼此分工的服務對象明確，所以比較不會有這樣的狀況出現。

好了，以上是對於一些資安組織的介紹，希望大家看了也能對於這些資安組織有進一步的了解，也知道發生資安事件的話應該要找誰處理才對，而明天的主題會進一步介紹台灣的TWCERT/CC跟TWNCERT喔，敬請期待～